出典: Security NEXT – https://www.security-next.com/177475
エプソン製プロジェクターに重大な脆弱性が発覚 – 310機種に影響
エプソン製のビジネス用および家庭用プロジェクター310モデルに、管理機能の認証を突破される恐れのある脆弱性「CVE-2025-64310」が確認されました。この脆弱性により、攻撃者はブルートフォース攻撃を用いてパスワードを無制限に試行でき、機器の制御やデータの改ざんが可能となるリスクがあります。
主要なポイント
- 対象機種の範囲:エプソン製のビジネス用および家庭用プロジェクター計310モデルが影響を受けています。
- 脆弱性の内容:管理機能のパスワード入力に回数制限や入力の一時停止がなく、ブルートフォース攻撃(総当たり攻撃)によるパスワード推測が可能です。
- 攻撃による影響:パスワードが特定されると、外部から機器に侵入され、投影画像の窃取、データ改ざん、ログの閲覧、電源操作などが行われる恐れがあります。
- 脆弱性評価:共通脆弱性評価システムCVSSv4.0で9.3、CVSSv3.0で9.8と高い深刻度が付けられています。
- 現状の対応:現時点で脆弱性の悪用は確認されていませんが、早急な対策が求められます。
技術的な詳細や背景情報
ブルートフォース攻撃とは、パスワードや暗証番号を総当たりで試す攻撃手法です。通常、システムは一定回数の誤入力後にアカウントを一時停止したり、入力を遅延させることで攻撃を防ぎます。しかし、本脆弱性のあるエプソン製プロジェクターの管理機能ではこれらの防御策が実装されておらず、無制限にパスワードを試行可能です。
管理機能はウェブブラウザや専用アプリからアクセスでき、機器の設定変更や状態確認を行います。ここに侵入されると、プロジェクターの投影内容の窃取や改ざんが可能となり、企業の機密情報漏洩や業務妨害につながる恐れがあります。
影響や重要性
プロジェクターは会議やプレゼンテーションで重要な情報を映し出す機器であり、特にビジネス用途では機密情報を扱うことが多いです。今回の脆弱性により、攻撃者が遠隔から不正にアクセスし、情報漏洩や業務妨害を引き起こすリスクが高まっています。
また、脆弱性の高いスコアは、攻撃が成功した場合の影響の大きさを示しており、早急な対策が不可欠です。企業や個人ユーザーは、エプソンからの公式アップデートやセキュリティ情報を注視し、適切な対応を行う必要があります。
まとめ
エプソン製プロジェクターの管理機能におけるブルートフォース攻撃を許す脆弱性「CVE-2025-64310」は、310機種に影響し、情報漏洩や機器の不正操作のリスクを高めています。パスワード試行回数の制限がないことが原因であり、攻撃が成功すると深刻な被害が想定されます。現時点で悪用例は報告されていませんが、ユーザーは最新のセキュリティ情報を確認し、必要に応じて対策を講じることが重要です。
